CN101860435A - 报文发送、接收以及确定网络节点的方法及装置 - Google Patents

报文发送、接收以及确定网络节点的方法及装置 Download PDF

Info

Publication number
CN101860435A
CN101860435A CN200910081589A CN200910081589A CN101860435A CN 101860435 A CN101860435 A CN 101860435A CN 200910081589 A CN200910081589 A CN 200910081589A CN 200910081589 A CN200910081589 A CN 200910081589A CN 101860435 A CN101860435 A CN 101860435A
Authority
CN
China
Prior art keywords
network node
message
last
attribute information
signing messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200910081589A
Other languages
English (en)
Other versions
CN101860435B (zh
Inventor
朱红儒
齐旻鹏
来学嘉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN2009100815891A priority Critical patent/CN101860435B/zh
Publication of CN101860435A publication Critical patent/CN101860435A/zh
Application granted granted Critical
Publication of CN101860435B publication Critical patent/CN101860435B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种报文发送方法及装置、报文接收方法及装置,用以对证明网络节点发送了报文的证据进行记录,以便后续能够通过该证据,对发送恶意报文的网络节点进行追溯。其中,报文发送方法包括步骤:当前网络节点利用自身的私钥,对待发送的报文的属性信息进行加密,生成对应当前网络节点发送所述报文的签名信息;以及将所述报文和生成的所述签名信息发送给自身的下一跳网络节点。本发明还公开了一种确定发送报文的网络节点的方法及装置,用以针对任一报文,从通信网络中确定出发送该报文的网络节点。

Description

报文发送、接收以及确定网络节点的方法及装置
技术领域
本发明涉及计算机与通信技术领域,尤其涉及一种报文发送方法及装置、报文接收方法及装置、确定发送报文的网络节点的方法及装置。
背景技术
分布式业务网络,即Distributed Service Network(简称DSN),是针对电信业务和移动互联网业务所提出的新一代可运营、可管理的分布式核心网体系和功能架构,主要用于应对目前电信网和Internet在业务和运营上所面临的一些挑战,吸取电信网可运营、可管理的特性和Internet在业务提供上的快速、灵活、低成本、可扩展的特性,并通过采用新的技术,如P2P等分布式技术来驱动对网络架构发展方向的研究。
在DSN中,当参与通信的网络节点中包含不可信的网络节点,且该不可信的网络节点在通信过程中向其他网络节点传送包含有恶意代码(如病毒、非法数据等)的报文(以下将包含有恶意代码的报文简称为恶意报文)时,DSN的安全性会受到很大的威胁。因此,为了对初始发送恶意报文的网络节点进行限制,从而保证DSN的安全性,有必要从DSN中找出发送恶意报文的网络节点。
发明内容
本发明实施例提供一种报文发送方法及装置、报文接收方法及装置,用以对证明网络节点发送了报文的证据进行记录,以便后续能够通过该证据,对发送恶意报文的网络节点进行追溯。
本发明实施还提供一种确定发送报文的网络节点的方法及装置,用以针对任一报文,从通信网络中确定出发送该报文的网络节点。
为此,本发明实施例采用以下技术方案:
一种报文发送方法,包括:当前网络节点利用自身的私钥,对待发送的报文的属性信息进行加密,生成对应该网络节点发送所述报文的签名信息;以及将所述报文和所述签名信息发送给下一跳网络节点。
一种报文接收方法,包括:当前网络节点接收自身的上一跳网络节点发送来的报文和签名信息,所述签名信息为上一跳网络节点利用上一跳网络节点的私钥,对所述报文的属性信息进行加密生成的对应该网络节点发送所述报文的签名信息;当前网络节点利用所述上一跳网络节点的公钥对接收到的签名信息进行解密;以及在比较出接收到的报文的所述属性信息与通过对签名信息解密获得的属性信息一致时,存储接收到的报文的所述属性信息、所述签名信息以及所述上一跳网络节点的标识信息。
一种报文发送装置,包括:签名信息生成单元,用于利用所述装置自身的私钥,对待发送的报文的属性信息进行加密,生成对应所述装置发送所述报文的签名信息;发送单元,用于将所述报文和所述签名信息生成单元生成的签名信息发送给所述装置的下一跳网络节点。
一种报文接收装置,包括:接收单元,用于接收所述装置自身的上一跳网络节点发送来的报文和对应该报文的签名信息,所述签名信息为上一跳网络节点利用上一跳网络节点的私钥,对所述报文的属性信息进行加密生成的对应所述上一跳网络节点发送所述报文的签名信息;解密单元,用于利用所述上一跳网络节点的公钥对接收单元接收到的签名信息进行解密;比较单元,用于比较接收单元接收到的报文的所述属性信息与解密单元对签名信息解密获得的属性信息是否一致;存储单元,用于在比较单元得到的比较结果为是时,存储接收单元接收到的报文的所述属性信息、所述签名信息以及所述上一跳网络节点的标识信息。
一种报文发送方法,包括:当前网络节点确定自身及自身的下一跳网络节点是否均为可信网络节点;当确定结果为是时,向自身的下一跳网络节点发送报文;以及当确定结果为否时,放弃向自身的下一跳网络节点发送报文。
一种报文接收方法,包括:当前网络节点在自身的上一跳网络节点发送来报文时,判断自身及所述上一跳网络节点是否均为可信网络节点;当判断结果为是时,接收所述上一跳网络节点发送来的报文,并存储发送来所述报文的所述上一跳网络节点的标识信息;以及当判断结果为否时,放弃接收所述报文。
一种报文发送装置,包括:确定单元,用于确定所述装置及所述装置的下一跳网络节点是否均为可信网络节点;发送单元,用于在确定单元的确定结果为是时,向所述装置的下一跳网络节点发送报文;放弃单元,用于在确定单元的确定结果为否时,放弃向所述装置的下一跳网络节点发送报文。
一种报文接收装置,包括:判断单元,用于在所述装置的上一跳网络节点发送来报文时,判断所述装置及所述上一跳网络节点是否均为可信网络节点;放弃单元,用于在判断单元的判断结果为否时,放弃接收所述报文;以及接收单元,用于在判断单元的判断结果为是时,接收所述报文;存储单元,用于根据接收单元接收到的所述报文,存储发送来所述报文的所述上一跳网络节点的标识信息。
一种确定发送报文的网络节点的方法,包括:根据网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点;利用确认出的网络节点的公钥,对当前网络节点存储的与确认出的网络节点的标识对应的签名信息进行解密;以及在解密得到的信息与当前网络节点存储的所述报文的属性信息对应一致时,验证确认出的网络节点确实向当前网络节点发送了所述报文。
一种确定发送报文的网络节点的装置,包括:确认单元,用于根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点;解密单元,用于利用确认单元确认出的网络节点的公钥,对当前网络节点存储的与确认单元确认出的网络节点的标识对应的签名信息进行解密;验证单元,用于在解密单元解密得到的信息与当前网络节点存储的所述报文的属性信息对应一致时,验证确认出的网络节点确实向当前网络节点发送了所述报文。
一种确定发送报文的网络节点的方法,包括:确定当前网络节点以及当前网络节点的上一跳网络节点是否均为可信网络节点;以及当确定结果为是时,根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点。
一种确定发送报文的网络节点的装置,包括:确定单元,用于确定当前网络节点以及当前网络节点的上一跳网络节点是否均为可信网络节点;确认单元,用于当确定单元的确定结果为是时,根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点。
本发明实施例提出的第一种报文发送、接收方法,通过参与通信的各个网络节点执行接收自身的上一跳网络节点发送来的报文和对应该报文的签名信息,并利用上一跳网络节点的公钥对接收到的签名信息进行解密,以及在比较出接收到的该报文的属性信息与解密得到的信息一致时,将接收到的报文的属性信息、签名信息以及上一跳网络节点的标识信息进行存储,用于作为上一跳网络节点发送了报文的证据,以及利用自身的私钥对待发送给下一跳网络节点的报文进行加密计算,生成对应自身发送该报文的签名信息,并将该签名信息作为证明自身发送了报文的证据,将该签名信息和待发送的报文发送给下一跳网络节点,从而后续能够以各个网络节点存储的报文的属性信息和使用上一跳网络节点私钥计算得到的签名信息作为上一跳网络节点发送了该报文的证据,以对发送恶意报文的网络节点进行追溯,由于该签名信息是由上一跳网络节点根据自身私钥对自身发送的报文的属性信息进行加密计算而生成的,从而该签名信息是除上一跳网络节点外的其他网络节点无法伪造的,因此,在责任追溯过程中,上一跳网络节点无法否认自身发送了具有该属性信息的报文的事实,从而能够保证后续对恶意报文来源追溯过程的可靠性和有效性。
针对通信网络中相邻的网络节点均为可信网络节点的情况,本发明实施例提出的第二种报文发送、接收方法通过当前网络节点在自身的上一跳网络节点发送来报文时,判断自身是否为可信网络节点、且自身的上一跳网络节点是否为可信网络节点;以及在判断出自身为可信网络节点、且自身的上一跳网络节点为可信网络节点时,接收上一跳网络节点发送来的报文,并存储上一跳网络节点的标识信息,从而后续能够以网络节点存储的上一跳网络节点的标识信息作为上一跳网络节点发送了报文的证据,也可以实现对发送恶意报文的网络节点进行追溯。
本发明实施例提供的第一种确定发送报文的网络节点的方法,通过根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点;并利用确认出的网络节点的公钥,对当前网络节点存储的与上一跳网络节点的标识对应的签名信息进行解密;以及在解密得到的信息与当前网络节点存储的所述报文的属性信息对应一致时,验证确认出的网络节点确实向当前网络节点发送了所述报文,从而能够从通信网络中找出发送报文的网络节点,实现了对恶意报文来源的追溯,同时,即使上一跳网络节点否认发送报文的事实,也能够进一步利用当前网络节点存储的签名信息来验证出上一跳网络节点确实发送了报文。
针对通信网络中相邻的网络节点均为可信网络节点的情况,本发明实施例提供的第二种确定发送报文的网络节点的方法通过确定当前网络节点以及当前网络节点的上一跳网络节点是否均为可信网络节点;以及当确定结果为是时,根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点,从而能够确定出发送了报文的可信网络节点,实现了对报文来源的追溯,由于可信网络节点不会对自身发送了报文的事实进行抵赖,因此,按照该第二种确定发送报文的网络节点的方法不会影响报文来源追溯过程的可靠性和有效性。
附图说明
图1为本发明实施例提供的一种报文发送方法的具体流程示意图;
图2为本发明实施例提供的一种报文接收方法的具体流程示意图;
图3为本发明实施例提供的该报文发送方法和报文接收方法在实际中的具体实施流程示意图;
图4为本发明实施例提供的一种报文发送装置的具体结构示意图;
图5为本发明实施例提供的一种报文接收装置的具体结构示意图;
图6为本发明实施例提供的另一种报文发送方法的具体流程示意图;
图7为本发明实施例提供的另一种报文接收方法的具体流程示意图;
图8为本发明实施例提供的另一种报文发送装置的具体结构示意图;
图9为本发明实施例提供的另一种报文接收装置的具体结构示意图;
图10为本发明实施例提供的一种确定发送报文的网络节点的方法的具体流程示意图;
图11为本发明实施例提供的一种确定发送报文的网络节点的方法的具体实施流程示意图;
图12为本发明实施例提供的一种确定发送报文的网络节点的装置的具体结构示意图;
图13为本发明实施例提供的另一种确定发送报文的网络节点的方法的具体实施流程示意图;
图14为本发明实施例提供的另一种确定发送报文的网络节点的装置的具体结构示意图。
具体实施方式
首先,本发明实施例提供了一种报文发送方法,用以实现当前网络节点对能够证明自身的上一跳网络节点发来报文这一行为的信息进行记录,从而后续能够以该记录的信息为证据,实现责任追溯,进而找出发送恶意报文的网络节点。
本发明实施例提供的该报文发送方法的具体流程示意图如图1所示,包括以下步骤:
步骤11,当前网络节点利用自身的私钥,对待发送的报文的属性信息进行加密,生成对应当前网络节点发送该报文的签名信息,其中,当前网络节点可以利用私钥对报文的长度属性信息、报文的摘要属性信息和发送该报文的时间属性信息进行加密,生成签名信息,也可以利用私钥对报文的原文信息和发送该报文的时间属性信息进行加密,生成签名信息,此外,当前网络节点还可以利用私钥对报文的其他属性信息进行加密,从而生成签名信息,该签名信息即为当前网络节点向自身的下一跳网络节点发送了该报文的证据;
步骤12,当前网络节点将该报文和生成的签名信息发送给自身的下一跳网络节点。
由于参与通信的每个网络节点均使用自身的私钥对发送的报文的属性信息进行加密,且使用上一跳网络节点的公钥对上一跳网络节点发来的签名信息进行解密,可能会占用每个网络节点过多的处理资源,较佳地本发明实施例提供的该方法中,当前网络节点可以在确定出自身为不可信网络节点,和/或判断出自身的下一跳网络节点为不信网络节点后,再利用自身私钥对待发送的报文的属性信息进行加密,从而生成签名信息。具体地,当前网络节点确定自身为不可信网络节点可以采用下述两种实现方式之一:
方式一:当前网络节点判断出自身中未存储有可信网络节点的标识信息时,确定自身为不可信网络节点,其中,可信网络节点的标识信息可以是由网络侧提供给每个可信网络节点的;
方式二:当前网络节点判断出自身未存储有不可信网络节点的标识信息时,确定自身为不可信网络节点,其中,该不可信网络节点的标识信息也可以是由网络侧提供给每个可信网络节点的。
而针对当前网络节点确定自身的下一跳网络节点为不可信网络节点,可以采用下述的两种实现方式之一:
方式一:当前网络节点判断出自身存储有可信网络节点的标识信息,且判断出自身的下一跳网络节点的标识信息未在自身存储的可信网络节点的标识信息中时,确定自身的下一跳网络节点为不可信网络节点;
方式二:当前网络节点确定出自身存储有不可信网络节点的标识信息,且判断出自身的下一跳网络节点的标识信息在自身存储的不可信网络节点的标识信息中时,确定自身的下一跳网络节点为不可信网络节点。
对应于本实施例提供的该报文发送方法,本发明实施例还提供一种报文接收方法,该报文接收方法的具体流程示意图如图2所示,包括步骤:
步骤21,当前网络节点接收自身的上一跳网络节点发送来的报文和对应上一跳网络节点发送该报文的签名信息,该签名信息可以但不限于为上一跳网络节点利用上一跳网络节点的私钥对所述报文的属性信息进行加密生成的,其中,报文的属性信息可以是报文的长度属性信息、报文的摘要属性信息和发送该报文的时间属性信息,也可以是报文的原文信息和发送该报文的时间属性信息,该签名信息即为上一跳网络节点向当前网络节点发送了该报文的证据;
步骤22,当前网络节点利用上一跳网络节点的公钥对接收到的签名信息进行解密,其中网络侧可以预先维护各个网络节点的标识和网络节点的公钥的对应关系,当前网络节点可以根据上一跳网络节点的标识信息到该预先维护的对应关系中查找到对应上一跳网络节点的公钥信息;
步骤23,在比较出接收到的报文的属性信息与利用公钥对签名信息进行解密得到的报文属性信息一致时,存储接收到的报文的属性信息、签名信息以及上一跳网络节点的标识信息,而若比较出接收到的报文的属性信息与利用公钥对签名信息进行解密得到的报文属性信息不一致时,丢弃接收到的报文,在本步骤中,考虑到网络节点可能会接收到由不同的上一跳网络节点发送的报文,因此,可以将接收到的报文的属性信息、签名信息以及上一跳网络节点的标识信息进行对应存储,以便后续根据报文的属性信息,对与该报文的属性信息对应的签名信息或上一跳网络节点的标识信息进行查找。
具体地,以下以本发明实施例提供的上述报文发送方法和报文接收方法应用在DSN中为例,详细说明该报文发送方法和报文接收方法的实施过程。
在该DSN中,假设有一个报文从起始网络节点Node1发送到目标节点Noden,在发送过程中,该报文在DSN中的传输链路依次经过网络节点Node1、Node2......、Noden,由于DSN是点对点(P2P,Point to Point)的结构,不存在能记录网络运行情况的关键网络节点,因此,需要通过每个网络节点自身来记录所有通信过程中的元数据(meta data)。为了便于说明,仅以传输链路中的任一网络节点Nodem为例来说明本发明实施例提供的该方法的实现过程,该Nodem的上一跳网络节点为Nodem-1,下一跳网络节点为Nodem+1。针对该Nodem,如图3所示,为本发明实施例提供的该报文发送方法和报文接收方法的具体实施流程示意图,该实施流程包括步骤:
步骤31,Nodem接收Nodem-1发送来的报文M,以及接收Nodem-1利用自身的私钥Secret-keym-1,对报文M的摘要属性信息H(M)、报文M的长度属性信息len以及Nodem-1向Nodem发送报文M的发送时间属性信息T(也称时间戳)进行加密计算生成的签名信息sigm-1{H(M),len,T},该签名信息即为Nodem-1向Nodem发送了报文M的证据,同时,Nodem还可以接收Nodem-1发送来的T信息;
步骤32,Nodem根据接收到的T与当前时间,确定出时间间隔t,并根据预先设定的时间间隔阈值,判断出t不大于该时间阈值时,确定接收到的报文M有效,并进一步利用Nodem-1的公钥Public-key对接收到的sigm-1{H(M),len,T}进行解密,并比较解密得到的H(M),len,T与当前接收到的报文M的H(M),len,T是否对应一致,当比较结果为是时,执行步骤33,否则,执行步骤36;
步骤33,Nodem对应存储接收到的sigm-1{H(M),len,T}、接收到的报文M的摘要属性信息H(M)、报文的长度属性信息len和接收到的T信息,以及上一跳网络节点Nodem-1的标识m-1,其中Nodem-1的标识m-1可以承载在接收到的报文M的源地址域中,此外,Nodem还可以存储下一跳网络节点Nodem+1的标识m+1,在本实施例中,可以将Nodem存储的各种信息构成的组合称为6元组,该6元组也可表示为<len,H(M),sigm-1{H(M),len,T},T,m-1,m+1>,本发明实施例中,可以设置固定大小的存储空间对该6元组进行存储,由于该6元组包含的信息量较少,因此该6元组也不会占用网络节点太多的存储空间;
步骤34,Nodem根据接收到的报文M,确定需要向Nodem+1发送的报文M’,如果Nodem没有对接收到的报文M进行篡改,则报文M’和报文M是一致的,如果Nodem对接收到的报文M进行了篡改,则报文M’和报文M就会变得不一致;并进一步利用自身的私钥Secret-keym对报文M’的摘要属性信息H(M’)、报文M’的长度属性信息len’以及Nodem向Nodem+1发送报文M’的发送时间属性信息T’进行加密计算生成签名信息sigm{H(M’),len’,T’},该签名信息可以作为Nodem向Nodem+1发送了报文M’的证据;
步骤35,Nodem将报文M’以及sigm{H(M’),len’,T’}发送给Nodem+1,Nodem还可以将T’信息也发送给Nodem+1,在本实施例中,将Nodem向Nodem+1发送的sigm{H(M’),len’,T’}以及T’称为2元组,该2元组也可表示为<sigm{H(M),len’,T’},T’>,流程结束;
步骤36,Nodem丢弃接收到的报文M,流程结束。
将本发明实施例提供的该方法应用到除DSN外的其他网络中时,可以由该网络中能够记录网络运行情况的关键网络节点来存储各个网络节点对应的6元组,或者可以由网络侧设备统一存储各个网络节点对应的6元组。
在上述实施例中,通过对参与通信的各个网络节点Node1~Noden执行上述的报文发送方法、报文接收方法,使得各个网络节点(除Node1外)中都会存储自身的上一跳网络节点发送来报文证据(即签名信息),从而后续可以根据网络节点存储的该证据,实现对发送来报文的网络节点的追溯。
对应于本发明实施例提供的如图1所示的报文发送方法,本发明实施例还提供一种报文发送装置,其具体结构示意图如图4所示,包括以下功能单元:
签名信息生成单元41,用于利用该报文发送装置自身的私钥,对待发送的报文的属性信息进行加密,生成对应该装置发送该报文的签名信息,其中,报文的属性信息可以是报文的长度属性信息、报文的摘要属性信息和发送该报文的时间属性信息,也可以是报文的原文信息和发送该报文的时间属性信息,该生成的签名信息即为该报文发送装置向下一跳网络节点发送了报文的证据;
发送单元42,用于将上述报文和签名信息生成单元41生成的签名信息发送给该报文发送装置的下一跳网络节点。
较佳地,本发明实施例提供的该报文发送装置还可以包括用于在签名信息生成单元41利用该报文发送装置自身的私钥,对待发送的报文的属性信息进行加密前,确定该报文发送装置为不可信网络节点的第一确定单元,或用于在签名信息生成单元41利用该报文发送装置自身的私钥,对待发送的报文的属性信息进行加密前,确定该报文发送装置的下一跳网络节点为不可信网络节点的第二确定单元,或用于在签名信息生成单元41利用该报文发送装置自身的私钥,对待发送的报文的属性信息进行加密前,确定该报文发送装置及该装置的下一跳网络节点均为不可信网络节点的第三确定单元。
对应于本发明实施例提供的上述报文接收方法,本发明实施例还提供一种报文接收装置,其具体结构示意图如图5所示,包括以下功能单元:
接收单元51,用于接收报文接收装置自身的上一跳网络节点发送来的报文和对应上一跳网络节点发送该报文的签名信息,其中,该签名信息为上一跳网络节点利用上一跳网络节点的私钥对该报文的长度属性信息、报文的摘要属性信息和发送该报文的时间属性信息进行加密生成的,或为上一跳网络节点利用上一跳网络节点的私钥对该报文的原文信息和发送该报文的时间属性信息进行加密生成的,或为上一跳网络节点利用上一跳网络节点的私钥对报文的其他属性信息进行加密生成的,该签名信息即为上一跳网络节点发送了报文的证据;
解密单元52,用于利用上一跳网络节点的公钥对接收单元51接收到的签名信息进行解密;
比较单元53,用于比较接收单元51接收到的报文的属性信息与解密单元52解密得到的信息是否一致;
存储单元54,用于在比较单元53得到的比较结果为是时,存储接收单元51接收到的报文的属性信息、签名信息以及上一跳网络节点的标识信息。
在本发明实施例中,由于当前网络节点和当前网络节点的下一跳网络节点均为可信网络节点时,可以省略当前网络节点利用自身私钥对将要发送给下一跳网络节点的报文的属性信息进行加密运算并生成签名信息这一过程的处理开销,也能够省略当前网络节点利用上一跳网络节点的公钥信息对上一跳网络节点发来的签名信息进行解密运算的处理过程,从而能够节约每个网络节点的处理资源,因此,针对当前网络节点和当前网络节点的下一跳网络节点均为可信网络节点的情况,本发明实施例还提供一种报文发送方法,其具体流程示意图如图6所示,包括步骤:
步骤61,当前网络节点确定自身及自身的下一跳网络节点是否均为可信网络节点,当确定结果为是时,执行步骤62,否则,执行步骤63;
步骤62,向自身的下一跳网络节点发送报文,流程结束;
步骤63,放弃向自身的下一跳网络节点发送报文,流程结束。
采用如图6所示的报文发送方法,由于可信的网络节点不会对自身向下一跳网络节点发送了报文这一行为抵赖,因此,以可信的网络节点的标识信息作为用于记录可信网络节点发送了报文的责任记录信息不会影响后续责任追溯过程的有效性。
较佳地,上述步骤61中,当前网络节点可以采用以下任一实现方式,来确定自身为可信网络节点:
方式一:当前网络节点确定出自身中存储有可信网络节点的标识信息时,确定自身为可信网络节点;
方式二:当前网络节点确定出自身中存储有不可信网络节点的标识信息时,确定自身为可信网络节点。
而针对当前网络节点确定自身的下一跳网络节点为可信网络节点,则可以采用以下任一实现方式:
方式一:当前网络节点确定出自身存储有可信网络节点的标识信息,且在判断出自身的下一跳网络节点的标识信息在自身存储的可信网络节点的标识信息中时,确定自身的下一跳网络节点为可信网络节点;
方式二:当前网络节点确定出自身存储有不可信网络节点的标识信息,且在判断出自身的下一跳网络节点的标识信息未在自身存储的不可信网络节点的标识信息中时,确定自身的下一跳网络节点为可信网络节点。
对应于本发明实施例提供的该报文发送方法,本发明实施例还提供一种报文接收方法,其具体流程示意图如图7所示,包括以下步骤:
步骤71,当前网络节点在自身的上一跳网络节点发送来报文时,判断自身及自身的上一跳网络节点是否均为可信网络节点,当判断结果为是时,执行步骤72,否则,执行步骤73;
步骤72,接收上一跳网络节点发送来的报文,并存储上一跳网络节点的标识信息,流程结束;
步骤73,放弃接收上一跳网络节点发送来的报文,流程结束。
对应于本发明实施例提供的如图6所示的报文发送方法,本发明实施例还提供一种报文发送装置,其具体结构示意图如图8所示,包括以下功能单元:
确定单元81,用于确定该报文发送装置及该报文发送装置自身的下一跳网络节点是否均为可信网络节点;
发送单元82,用于在确定单元81的确定结果为是时,向该报文发送装置的下一跳网络节点发送报文;
放弃单元83,用于在确定单元81的确定结果为否时,放弃向该报文发送装置的下一跳网络节点发送报文。
对应于本发明实施例提供的如图7所示的报文接收方法,本发明实施例还提供一种报文接收装置,其具体结构示意图如图9所示,包括以下功能单元:
判断单元91,用于在该报文接收装置的上一跳网络节点发送来报文时,判断该报文接收装置自身及该报文接收装置的上一跳网络节点是否均为可信网络节点;
接收单元92,用于在判断单元91判断出该报文接收装置为可信网络节点、且该报文接收装置的上一跳网络节点为可信网络节点时,接收上一跳网络节点发送来的报文;
存储单元93,用于存储接收单元91接收到的报文中承载的上一跳网络节点的标识信息;
放弃单元94,用于在判断单元91的判断结果为否时,放弃接收上一跳网络节点发送来的报文。
此外,为了对发送恶意报文的网络节点进行责任追溯,从而实现从通信网络中确定出发送恶意报文的网络节点,本发明实施例还提供一种确定发送报文的网络节点的方法,其具体流程示意图如图10所示,包括以下步骤:
步骤101,根据当前网络节点存储的报文的属性信息,查找当前网络节点存储的与该属性信息对应的上一跳网络节点的标识,由于当前网络节点有可能只接收到一个报文,因此,该步骤101中也可以直接确定出当前网络节点存储的网络节点标识即为上一跳网络节点的标识;
步骤102,根据查找到的标识,确认向当前网络节点发送了报文的网络节点;
步骤103,利用确认出的网络节点的公钥,对当前网络节点存储的与确认的网络节点的标识对应的签名信息进行解密;
步骤104,在解密得到的信息与当前网络节点存储的该报文的属性信息对应一致时,验证确认出的网络节点确实向当前网络节点发送了该报文。
较佳地,由于只有不可信的网络节点才有可能对自身发送了报文的事实抵赖,因此,本发明实施例提供的上述确定发送报文的网络节点的方法中,针对可信网络节点,采用步骤101、102即可确定出发送了报文的网络节点,因此,步骤103利用确认出的网络节点的公钥,对当前网络节点存储的与查找到的标识对应的签名信息进行解密的操作可以是在确定当前网络节点为不可信网络节点,和/或确定当前网络节点的上一跳网络节点为不可信网络节点才执行的。
此外,需要说明的是,本发明实施例提供的确定发送报文的网络节点的方法可以是在当前网络节点接收到上一跳网络节点发送来的报文后,立即对发送来该报文的网络节点进行确定,也可以是在通信过程结束后(即报文对应的目标网络节点接收到该报文后)再从接收到该报文的最后一个网络节点起,针对该最后一个网络节点执行上述步骤101~104,进一步地,对参与通信的网络节点执行上述步骤,即可以追溯出初始发送该报文的网络节点。
具体地,同样以DSN为例,该确定发送报文的网络节点的方法的具体实施流程示意图如图11所示,包括以下步骤:
步骤111,针对Nodem接收到的报文M,或者,在确定出Nodem接收到的报文M为被篡改的报文时,从Nodem存储的6元组<len,H(M),sigm-1{H(M),len,T},T,m-1,m+1>中确定出发送来该报文M的上一跳网络节点的标识m-1,若Nodem存储有多个6元组,则需要根据M的属性信息,确定出与该属性信息对应存储的上一跳网络节点的标识m-1;
步骤112,根据6元组中的m-1,确定报文M是由标识为m-1的上一跳网络节点Nodem-1发送来的;
步骤113,根据6元组中的len,H(M),T和sigm-1{H(M),len,T},进一步确定该报文M是由标识为m-1的上一跳网络节点Nodem-1发送来的,以防止上一跳网络节点Nodem-1对向Nodem发送篡改了的报文M的行为进行抵赖。比如,若Nodem-1对发送了报文M的事实抵赖,则可以利用Nodem-1的公钥对自身存储的sigm-1{H(M),len,T}进行解密,得到H(M),len和T,当通过比较,确定出解密得到的H(M),len和T与6元组中的H(M),len和T对应一致时,则可以确定报文M是由Nodem-1发送来的,因为,首先,Nodem只能利用Nodem-1的公钥(而非其他网络节点的公钥)来实现对自身存储的sigm-1{H(M),len,T}进行解密,因此可以说明该sigm-1{H(M),len,T}只能是由Nodem-1利用自身的私钥对报文M的属性信息进行加密生成的;其次,由于Nodem利用Nodem-1的公钥对sigm-1{H(M),len,T}进行解密后得到的H(M),1en和T与6元组中的H(M),len和T是分别对应一致的,因此也可以证明Nodem-1发送给Nodem的报文肯定是报文M,这是Nodem-1是抵赖不了的,流程结束。
如图11所示的上述步骤,可以是由Nodem执行,也可以是由网络侧设备来执行。
本发明实施例提供的上述确定发送报文的网络节点的方法可以应用于依据网络节点发送的数据包总量进行统计收费的领域中,即较佳地,网络节点发送、接收的报文可以为和计费有关的数据报文,此外网络节点发送、接收的报文还可以为控制信息报文等。在计费领域中,各网络节点存储的报文属性信息、上一跳网络节点根据报文的属性信息计算得到的签名信息、上一跳网络节点的标识信息等,可用于确定上一跳网络节点发送过的数据包,从而使上一跳网络节点不能逃避对发送过的数据包进行缴费。
相应地,本发明实施例还提供一种确定发送报文的网络节点的装置,其具体结构示意图如图12所示,包括以下功能单元:
确认单元121,用于根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点;
解密单元122,用于利用确认单元121确认出的网络节点的公钥,对确认单元确认出的网络节点的标识对应的签名信息进行解密;
验证单元123,用于在解密单元122解密得到的信息与当前网络节点存储的该报文的属性信息对应一致时,验证确认出的网络节点确实向当前网络节点发送了该报文。
较佳地,针对网络中相邻网络节点均为可信网络节点时,只需要确认单元121即可确认出发送了报文的网络节点,因此,本发明实施例提供的该装置还可以包括:确定单元,用于在解密单元122利用确认单元121确认出的网络节点的公钥,对确认单元确认出的网络节点的标识对应的签名信息进行解密前,确定当前网络节点为不可信网络节点,和/或确定当前网络节点的上一跳网络节点为不可信网络节点。
针对网络中相邻网络节点均为可信网络节点的情况,本发明实施例还提供另一种确定发送报文的网络节点的方法,其具体结构示意图如图13所示,包括步骤:
步骤131,确定当前网络节点以及当前网络节点的上一跳网络节点是否均为可信网络节点;以及
步骤132,当确定结果为是时,根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点。
相应地,本发明实施例还提供了一种确定发送报文的网络节点的装置,其具体结构示意图如图14,包括:
确定单元141,用于确定当前网络节点以及当前网络节点的上一跳网络节点是否均为可信网络节点;
确认单元142,用于当确定单元141的确定结果为是时,根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (19)

1.一种报文发送方法,其特征在于,包括:
当前网络节点利用自身的私钥,对待发送的报文的属性信息进行加密,生成对应当前网络节点发送所述报文的签名信息;以及
将所述报文和所述签名信息发送给下一跳网络节点。
2.如权利要求1所述的方法,其特征在于,当前网络节点利用自身的私钥,对待发送的报文的属性信息进行加密之前,还包括:
当前网络节点确定自身为不可信网络节点;或
当前网络节点确定自身的下一跳网络节点为不可信网络节点;或
当前网络节点确定自身以及所述下一跳网络节点均为不可信网络节点。
3.如权利要求2所述的方法,其特征在于,当前网络节点在自身中未存储有可信网络节点的标识信息、或未存储有不可信网络节点的标识信息时,确定出自身为不可信网络节点。
4.如权利要求1所述的方法,其特征在于,所述签名信息为sigm{H(M’),len’,T’},其中,len’为报文的长度属性信息、H(M’)为报文的摘要属性信息和T’为发送该报文的时间属性信息,m为当前网络节点的标识信息。
5.一种报文接收方法,其特征在于,包括:
当前网络节点接收自身的上一跳网络节点发送来的报文和签名信息,所述签名信息为上一跳网络节点利用上一跳网络节点的私钥,对所述报文的属性信息进行加密生成的对应当前网络节点发送所述报文的签名信息;
当前网络节点利用所述上一跳网络节点的公钥对接收到的签名信息进行解密;以及
在比较出接收到的报文的所述属性信息与通过对签名信息解密获得的属性信息一致时,存储接收到的报文的所述属性信息、所述签名信息以及所述上一跳网络节点的标识信息。
6.如权利要求5所述的方法,其特征在于,所述签名信息为sigm{H(M’),len’,T’},其中,len’为报文的长度属性信息、H(M’)为报文的摘要属性信息和T’为发送该报文的时间属性信息,m为当前网络节点的标识信息。
7.一种报文发送装置,其特征在于,包括:
签名信息生成单元,用于利用所述装置自身的私钥,对待发送的报文的属性信息进行加密,生成对应所述装置发送所述报文的签名信息;
发送单元,用于将所述报文和所述签名信息生成单元生成的签名信息发送给所述装置的下一跳网络节点。
8.如权利要求7所述的装置,其特征在于,还包括:
第一确定单元,用于在签名信息生成单元利用所述装置自身的私钥,对待发送的报文的属性信息进行加密前,确定所述装置为不可信网络节点;或
第二确定单元,用于在签名信息生成单元利用所述装置自身的私钥,对待发送的报文的属性信息进行加密前,确定所述装置的下一跳网络节点为不可信网络节点;或
第三确定单元,用于在签名信息生成单元利用所述装置自身的私钥,对待发送的报文的属性信息进行加密前,确定所述装置及所述下一跳网络节点均为不可信网络节点。
9.一种报文接收装置,其特征在于,包括:
接收单元,用于接收所述装置自身的上一跳网络节点发送来的报文和对应该报文的签名信息,所述签名信息为上一跳网络节点利用上一跳网络节点的私钥,对所述报文的属性信息进行加密生成的对应所述上一跳网络节点发送所述报文的签名信息;
解密单元,用于利用所述上一跳网络节点的公钥对接收单元接收到的签名信息进行解密;
比较单元,用于比较接收单元接收到的报文的所述属性信息与解密单元对签名信息解密获得的属性信息是否一致;
存储单元,用于在比较单元得到的比较结果为是时,存储接收单元接收到的报文的所述属性信息、所述签名信息以及所述上一跳网络节点的标识信息。
10.一种报文发送方法,其特征在于,包括:
当前网络节点确定自身及自身的下一跳网络节点是否均为可信网络节点;
当确定结果为是时,向自身的下一跳网络节点发送报文;以及
当确定结果为否时,放弃向自身的下一跳网络节点发送报文。
11.一种报文接收方法,其特征在于,包括:
当前网络节点在自身的上一跳网络节点发送来报文时,判断自身及所述上一跳网络节点是否均为可信网络节点;
当判断结果为是时,接收所述上一跳网络节点发送来的报文,并存储发送来所述报文的所述上一跳网络节点的标识信息;以及
当判断结果为否时,放弃接收所述报文。
12.一种报文发送装置,其特征在于,包括:
确定单元,用于确定所述装置及所述装置的下一跳网络节点是否均为可信网络节点;
发送单元,用于在确定单元的确定结果为是时,向所述装置的下一跳网络节点发送报文;
放弃单元,用于在确定单元的确定结果为否时,放弃向所述装置的下一跳网络节点发送报文。
13.一种报文接收装置,其特征在于,包括:
判断单元,用于在所述装置的上一跳网络节点发送来报文时,判断所述装置及所述上一跳网络节点是否均为可信网络节点;
放弃单元,用于在判断单元的判断结果为否时,放弃接收所述报文;以及
接收单元,用于在判断单元的判断结果为是时,接收所述报文;
存储单元,用于根据接收单元接收到的所述报文,存储发送来所述报文的所述上一跳网络节点的标识信息。
14.一种确定发送报文的网络节点的方法,其特征在于,包括:
根据网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点;
利用确认出的网络节点的公钥,对当前网络节点存储的与确认出的网络节点的标识对应的签名信息进行解密;以及
在解密得到的信息与当前网络节点存储的所述报文的属性信息对应一致时,验证确认出的网络节点确实向当前网络节点发送了所述报文。
15.如权利要求14所述的方法,其特征在于,利用确认出的网络节点的公钥,对所述签名信息进行解密前,还包括:
确定当前网络节点为不可信网络节点;和/或
确定当前网络节点的上一跳网络节点为不可信网络节点。
16.一种确定发送报文的网络节点的装置,其特征在于,包括:
确认单元,用于根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点;
解密单元,用于利用确认单元确认出的网络节点的公钥,对当前网络节点存储的与确认单元确认出的网络节点的标识对应的签名信息进行解密;
验证单元,用于在解密单元解密得到的信息与当前网络节点存储的所述报文的属性信息对应一致时,验证确认出的网络节点确实向当前网络节点发送了所述报文。
17.如权利要求16所述的装置,其特征在于,还包括:
确定单元,用于在解密单元利用确认出的网络节点的公钥,对所述签名信息进行解密前,确定当前网络节点为不可信网络节点;和/或确定当前网络节点的上一跳网络节点为不可信网络节点。
18.一种确定发送报文的网络节点的方法,其特征在于,包括:
确定当前网络节点以及当前网络节点的上一跳网络节点是否均为可信网络节点;以及
当确定结果为是时,根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点。
19.一种确定发送报文的网络节点的装置,其特征在于,包括:
确定单元,用于确定当前网络节点以及当前网络节点的上一跳网络节点是否均为可信网络节点;
确认单元,用于当确定单元的确定结果为是时,根据当前网络节点存储的上一跳网络节点的标识,确认向当前网络节点发送了报文的网络节点。
CN2009100815891A 2009-04-13 2009-04-13 报文发送、接收以及确定网络节点的方法及装置 Expired - Fee Related CN101860435B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009100815891A CN101860435B (zh) 2009-04-13 2009-04-13 报文发送、接收以及确定网络节点的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009100815891A CN101860435B (zh) 2009-04-13 2009-04-13 报文发送、接收以及确定网络节点的方法及装置

Publications (2)

Publication Number Publication Date
CN101860435A true CN101860435A (zh) 2010-10-13
CN101860435B CN101860435B (zh) 2012-10-31

Family

ID=42946107

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009100815891A Expired - Fee Related CN101860435B (zh) 2009-04-13 2009-04-13 报文发送、接收以及确定网络节点的方法及装置

Country Status (1)

Country Link
CN (1) CN101860435B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017118413A1 (zh) * 2016-01-06 2017-07-13 中兴通讯股份有限公司 一种检测报文的方法、装置和系统
US10771595B2 (en) 2016-11-02 2020-09-08 Huawei Technologies Co., Ltd. Packet sending method and apparatus, chip, and terminal

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017118413A1 (zh) * 2016-01-06 2017-07-13 中兴通讯股份有限公司 一种检测报文的方法、装置和系统
CN106953835A (zh) * 2016-01-06 2017-07-14 中兴通讯股份有限公司 一种检测报文的方法、装置和系统
US10771595B2 (en) 2016-11-02 2020-09-08 Huawei Technologies Co., Ltd. Packet sending method and apparatus, chip, and terminal
CN108023683B (zh) * 2016-11-02 2020-12-25 华为技术有限公司 一种发送报文的方法、装置、芯片及终端

Also Published As

Publication number Publication date
CN101860435B (zh) 2012-10-31

Similar Documents

Publication Publication Date Title
CN107483419B (zh) 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质
CN112651037B (zh) 区块链系统的链外数据访问方法和系统
US11601292B2 (en) Remote attestation of modular devices with multiple cryptoprocessors
CN110781140B (zh) 区块链中数据签名的方法、装置、计算机设备及存储介质
CN111246474B (zh) 一种基站认证方法及装置
CN112311769B (zh) 安全认证的方法、系统、电子设备及介质
US11716367B2 (en) Apparatus for monitoring multicast group
CN115473655A (zh) 接入网络的终端认证方法、装置及存储介质
CN113259722B (zh) 一种安全视频物联网密钥管理方法、装置和系统
Yadav et al. LPPSA: An efficient lightweight privacy-preserving signature-based authentication protocol for a vehicular ad hoc network
CN111667268B (zh) 基于区块链的交易方法、节点及系统
Jurcut et al. On the security verification of a short message service protocol
CN116419217B (zh) Ota数据升级方法、系统、设备及存储介质
CN112491933A (zh) 一种局域网加密通信方法和存储介质
CN101860435B (zh) 报文发送、接收以及确定网络节点的方法及装置
CN109474438B (zh) 一种基于选择性泄露的智能终端接入认证方法
Lestari et al. Digital signature method to overcome sniffing attacks on LoRaWAN network
CN114745115A (zh) 一种信息传输方法、装置、计算机设备及存储介质
CN112423277B (zh) 蓝牙网状网络中的安全证书恢复
US11558198B2 (en) Real-time attestation of cryptoprocessors lacking timers and counters
CN114417309A (zh) 一种双向身份验证方法、装置、设备及存储介质
CN113038444A (zh) 生成应用层密钥的方法和装置
Aftab et al. Towards a distributed ledger based verifiable trusted protocol for VANET
Abouhogail et al. Design and development of an advanced authentication protocol for mobile applications using NFC technology
CN116561820B (zh) 可信数据处理方法及相关装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20121031

Termination date: 20210413

CF01 Termination of patent right due to non-payment of annual fee